]> git.openstreetmap.org Git - chef.git/blobdiff - cookbooks/tilecache/templates/default/nginx_tile.conf.erb
nginx: enable TLS 1.3
[chef.git] / cookbooks / tilecache / templates / default / nginx_tile.conf.erb
index f5ae62618053c8f8167c19ec1dc2751e872d546a..611bd4a73a52cab8e72c331110ae54055f64567d 100644 (file)
@@ -1,25 +1,73 @@
 # DO NOT EDIT - This file is being maintained by Chef
 
 upstream tile_cache_backend {
-    server 127.0.0.1:8080;
+  server 127.0.0.1;
+
+  # Add the other caches to relieve pressure if local squid failing
+  # Balancer: round-robin
+<% @caches.each do |cache| -%>
+<% if cache[:hostname] != node[:hostname] -%>
+<% if node[:tilecache][:tile_siblings].include? cache[:fqdn] -%>
+<% cache.ipaddresses(:family => :inet, :role => :external).sort.each do |address| -%>
+  server <%= address %> backup; # Server <%= cache[:hostname] %>
+<% end -%>
+<% end -%>
+<% end -%>
+<% end -%>
+
+  keepalive 256;
+}
 
-    keepalive 32;
+# Geo Map of tile caches
+geo $tile_cache {
+  default 0;
+<% @caches.each do |cache| -%>
+<% cache.ipaddresses(:family => :inet, :role => :external).sort.each do |address| -%>
+  <%= address %> 1; # <%= cache[:hostname] %>
+<% end -%>
+<% end -%>
 }
 
 # Rates table based on current cookie value
-map $cookie_qos_token $limit_rate_qos {
+map $cookie__osm_totp_token $limit_rate_qos {
   include /etc/nginx/conf.d/tile_qos_rates.map;
 }
 
 # Set-Cookie table based on current cookie value
-map $cookie_qos_token $cookie_qos_token_set {
+map $cookie__osm_totp_token $cookie_qos_token_set {
   include /etc/nginx/conf.d/tile_qos_cookies.map;
 }
 
 map $http_user_agent $approved_scraper {
-  default '';                       # Not approved
-  '~^JOSM\/' 'JOSM';
-  '~^Mozilla\/5\.0\ QGIS\/' 'QGIS';
+  default                   0; # Not approved
+  '~^JOSM\/'                1; # JOSM
+  '~^Mozilla\/5\.0\ QGIS\/' 1; # QGIS
+}
+
+map $http_user_agent $denied_scraper {
+  default                0; # Not denied
+  ''                     1; # No User-Agent Set
+  '~^Python\-urllib\/'   1; # Library Default
+  '~^python\-requests\/' 1; # Library Default
+  '~^node\-fetch\/'      1; # Library Default
+  '~^R$'                 1; # Library Default
+  '~^Java\/'             1; # Library Default
+  '~^tiles$'             1; # Library Default
+  '~^runtastic'          1; # App
+  'Mozilla/4.0'          1; # Fake
+  'Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)' 1;  # Fake
+}
+
+map $http_referer $denied_referer {
+  default                          0; # Not denied
+  'http://www.openstreetmap.org/'  1; # Faked
+  'http://www.openstreetmap.org'   1; # Faked
+  'http://openstreetmap.org/'      1; # Faked
+  'http://openstreetmap.org'       1; # Faked
+  'http://www.osm.org/'            1; # Faked
+  'http://www.osm.org'             1; # Faked
+  'http://osm.org/'                1; # Faked
+  'http://osm.org'                 1; # Faked
 }
 
 # Limit Cache-Control header to only approved User-Agents
@@ -37,7 +85,7 @@ map $http_user_agent $limit_http_pragma {
 }
 
 server {
-    listen       443 ssl fastopen=2048 http2 default_server;
+    listen       443 ssl deferred backlog=16384 reuseport fastopen=2048 http2 default_server;
     server_name  localhost;
 
     proxy_buffers 8 64k;
@@ -45,6 +93,76 @@ server {
     ssl_certificate      /etc/ssl/certs/tile.openstreetmap.org.pem;
     ssl_certificate_key  /etc/ssl/private/tile.openstreetmap.org.key;
 
+    # Requests sent within early data are subject to replay attacks.
+    # See: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_early_data
+    ssl_early_data on;
+
+    # Immediately 404 layers we do not support
+<% for i in 20..99 do %>
+    location /<%= i %>/ {
+      set $limit_rate 512;
+      return 404;
+    }
+<% end %>
+
+    # Immediately 404 silly tile requests
+    location = /0/0/-1.png {
+      set $limit_rate 512;
+      return 404;
+    }
+    location = /1/0/-1.png {
+      set $limit_rate 512;
+      return 404;
+    }
+    location = /1/-1/0.png {
+      set $limit_rate 512;
+      return 404;
+    }
+    location = /1/-1/1.png {
+      set $limit_rate 512;
+      return 404;
+    }
+    location = /1/-1/-1.png {
+      set $limit_rate 512;
+      return 404;
+    }
+    location = /1/-1/2.png {
+      set $limit_rate 512;
+      return 404;
+    }
+    location = /1/1/-1.png {
+      set $limit_rate 512;
+      return 404;
+    }
+    location = /1/2/-1.png {
+      set $limit_rate 512;
+      return 404;
+    }
+    location = /2/0/-1.png {
+      set $limit_rate 512;
+      return 404;
+    }
+    location = /2/-1/0.png {
+      set $limit_rate 512;
+      return 404;
+    }
+    location = /2/-1/1.png {
+      set $limit_rate 512;
+      return 404;
+    }
+    location = /2/1/-1.png {
+      set $limit_rate 512;
+      return 404;
+    }
+    location = /2/-1/2.png {
+      set $limit_rate 512;
+      return 404;
+    }
+    location = /2/-1/3.png {
+      set $limit_rate 512;
+      return 404;
+    }
+
     location / {
       proxy_pass http://tile_cache_backend;
       proxy_set_header X-Forwarded-For $remote_addr;
@@ -53,6 +171,8 @@ server {
 
       proxy_connect_timeout 5s;
 
+      # Preserve host header.
+      proxy_set_header Host $host;
       # Do not pass cookies to backends.
       proxy_set_header Cookie '';
       # Do not pass Accept-Encoding to backends.
@@ -77,7 +197,16 @@ server {
 
       # Allow Higher Traffic Rate from Approved User-Agents which do not support cookies (uses nginx Map)
       if ($approved_scraper) {
-        set $limit_rate 32768;
+        set $limit_rate 65536;
+      }
+
+      if ($denied_scraper) {
+        set $limit_rate 512;
+        return 429;
+      }
+      if ($denied_referer) {
+        set $limit_rate 512;
+        return 418;
       }
 
       # Strip any ?query parameters from urls
@@ -88,18 +217,3 @@ server {
       proxy_set_header Pragma $limit_http_pragma;
     }
 }
-
-# Convert all http requests to https
-server {
-    listen 80 default_server;
-    listen [::]:80 default_server;
-    server_name _;
-    return 301 https://$host$request_uri;
-}
-
-server {
-    listen 80;
-    listen [::]:80;
-    server_name ~^(?<subdomain>(?:[a-d]\.)?tile)\.osm\.org$;
-    return 301 https://$subdomain.openstreetmap.org$request_uri;
-}